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@> PROCEDE SECURISE DE MISE EN OEUVRE D'UN ALGORITHME DE CRYPTOGRAPH IE ET COMPOSANT 
CORRESPONDANT. 



(§) L'invention conceme un proc6d6 securisG de mise en 
oeuvre, dans un composant electron ique, d'un algorithme 
de cryptographie utilisant des moyens de caJcul destines a 
effectuer des operations d'exponentiation a la puissance d 
cf un nombre y (y°), d 6tant un nombre entier de taille deter- 
mined. II consiste a m6moriser plusieurs algorithmes de cal- 
cul d'exponentiation dans ledit composant electronique 
prealablement au premier calcul de y° , et a rgaliser les eta- 
pes suivantes a chaque calcul de la valeur y° : 

a) on decompose le nombre d en n blocs D j de r s bits, 
i variant de 0 a n-1, n et les r s etant des entiers aleatoires, 
1<n<=taille de d, r 0 +... ■•- r^* = taille de d et on considere 
parmi les algorithmes de calcul d'exponentiation memori- 
ses, une chaine de n algorithmes A i, 

b) on effectue au moyen cfun algorithme Aq et a partir 
des [n premiers bits de d et de y, le calcul 



le resultat de y 6 correspondant a la valeur S^obtenue. 



et on m6morise le resultat S 0 , 

c) on effectue au moyen cfun algorithme A i et a partir 
des r I bits sulvants de d, cfune fonction de S 0 ev ou... et/ ou 
de s M » e t)8l? !6j' variant de 1 a n * 1 » ,e 03,01,1 

et^memorise le resultat S j , 
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PROCEDE SECURISE DE MISE EN (EUVRE D'UN ALGORITHMS DE 
CRYPTOGRAPH IE ET COMPOSANT CORRE S POND ANT 

La pr6sente invention concerne un procecte s6curis6 
de mise en ceuvre, dans un composant 61ectronique, d'un 
algorithme de cryptographie utilisant le calcul 
d' exponentiation h la puissance d d'un nombre y. 
5 L' invention se rapporte egalement au composant 

£lectronique correspondant . 

De tels composants - sont utilises dans des 
applications ou l f acc£s £ des services ou £ des donn§es 
est s6v6rement controle. lis ont une architecture 
10 formee autour d'un microprocesseur et de memoires, dont 
une m6moire programme de type ROM {"Read Only Memory" 
en anglais) qui contient le(s) nombre (s) secret (s) d. 

Ces composants sont utilises dans des systemes 
informatiques, embarqu£s ou non ; ils sont notamment 
15 utilises dans les cartes £ puce, pour certaines 
applications de celles-ci. Ce sont par exemple des 
applications d'accds a certaines banques de donnees, 
des applications bancaires, des applications de tele- 
p6age, par exemple pour la television, la distribution 
20 d' essence ou encore le passage de phages d'autoroutes. 

Ces composants ou ces cartes mettent done en ceuvre 
un algorithme de cryptographie pour assurer le 
chiffrement de donn6es §mises et/ou le d6chif f rement de 
donn£es regues lorsque celles-ci doivent demeurer 
25 conf identielles . 

De mani^re g6n6rale et succincte, ces algorithmes 
cryptographiques ont notamment pour fonction le 
chiffrement ou la signature num^rique d'un message 
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appliqu6 en entr6e (k la carte) par un syst£me hote 
(serveur, distributeur bancaire...) et de nombreux 
secrets contenus dans la carte, et de fournir en retour 
au syst6me hote ce message chiffr6 ou sign6, ce qui 
5 permet par exemple au systeme hote d' authentif ier le 
composant ou. la carte, d'6changer des donn6es, .... 

Les caract6ristiques des algorithmes de 
cryptographie sont connues : calculs effectu§s, 
parametres utilises. La seule inconnue est le ou les 

10 nombres secrets contenus en m^moire programme . Toute la 
s<§curit<§ de ces algorithmes de cryptographie tient dans 
ce(s) nombre(s) secret (s) contenu(s) dans la carte et 
inconnu(s) du monde exterieur k cette carte. Ce nombre 
secret ne peut etre dfeduit de la seule connaissance du 

15 message appliqu6 en entrde et du message chiffr6 fourni 
en retour. 

Or il est apparu que des attaques externes bashes 
sur des grandeurs physiques mesurables k 1' exterieur du 
dispositif de calcul lorsque celui-ci est en train de 

20 derouler 1 ' algorithme de cryptographie, permettent a 
des tiers mal intentionn6s de trouver le(s) nombre (s) 
secret (s) contenu(s) dans cette carte. Ces attaques 
sont appel^es attaques k canaux caches ("Side channel 
attacks" en anglais) ; on distingue parmi ces attaques 

25 k canaux caches, les attaques SPA acronyme anglo-saxon 
pour Single Power Attack et les attaques DPA, acronyme 
anglo-saxon pour Differential Power Analysis. 

Le principe de ces attaques k canaux caches repose 
par exemple sur le fait que la consommation en courant 

30 du microprocesseur executant des instructions varie 
selon 1* instruction ou la donn6e manipul£e. 
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Notamment, • quand une instruction ex£cutee par le 
microprocesseur n6cessite une manipulation d'une donn6e 
ou d'une instruction bit par bit, on a deux profils de 
courant diffSrents selon que ce bit vaut "1" ou "0". 

5 Typiquement, si le microprocesseur manipule un "0", on 
a a cet instant d 1 execution une premiere amplitude du 
courant consomm6 et si le microprocesseur manipule un 
"1", on a une deuxieme amplitude du courant consomm6, 
diff§rente de la premiere. 

10 Ainsi les attaques & canaux caches exploitent dans 

ce cas la difference du profil de consommation en 
courant dans la carte pendant 1' execution d'une 
instruction suivant la valeur du bit manipule. Pour une 
description plus d6taill6e des attaques £ canaux 

15 caches , on se reportera a la publication de Paul Kocher 
"Advances in Cryptology-CRYPTO 1 99", vol. 1666 of 
Lectures Notes in Computer Science, pp 388-397, 
Springer Verlag 1999. 

Ce type d'attaque est notamment envisageable avec 

20 l'algorithme RSA du nom de ses auteurs (Rivest, Shamir 
et Adleman) , sur lequel sont bas§s de nombreux 
algorithmes de cryptographie. La s£curit6 de 
l'algorithme RSA est basee sur la difficult^ de 
factoriser de grands nombres. Ces algorithmes utilisent 

25 notamment des calculs d' exponentiation k la puissance 
d, d 6tant un nombre secret. 

On rappelle bri£vement les principales 6tapes de 
l'algorithme RSA. 

On 6tablit un nombre N qui est le produit de deux 

30 nombres premiers p et q (N=p.q), ainsi. qu'un exposant 



2829646 



public ou cle publique e et un exposant prive ou cie 
priv^e ou secrete d, satisfaisant la relation : 
e.d « 1 (modulo X(N) ) , 
X(.) etant la fonction de Carmichael. 
5 Selon un premier mode de f onctionnement de 

I'algorithme RSA dit classique, les paramdtres publics 
sont (N,e) et les paramdtres priv6s sont (N,d) . Etant 
donne x compris dans l'intervalle ]0,N[, 1' operation 
publique sur x qui peut etre par exemple le chiffrement 
10 du message x ou encore la verification de la signature 
x, consiste £ calculer : 

y = x e modulo N 
L' operation priv6e correspondante qui peut etre par 
exemple le d6chif f rement du message chiffre y ou la 
15 generation d'une signature x, est alors : 

x = y d modulo N 
Un autre mode de f onctionnement dit mode CRT car 
base sur le theordme des restes chinois ("Chinese 
Remainder Theorem" ou CRT en anglais) est quatre fois 
20 plus rapide que celui de I'algorithme RSA classique. 
Selon ce RSA mode CRT, on n 1 effectue pas directement 
les calculs. modulo N mais on effectue d'abord les 
calculs modulo p et modulo q. 

Les parametres publics sont (N,e) mais les 
25 pararaetres prives sont (p,q,d) ou (p, q, d p , d<,, i q ) avec 
dp = d modulo (p-1) , d q = d modulo (q-1) 
et i q = q~* modulo p. 
L' operation publique s 1 effectue de la m§me fagon 
que pour le mode de fonctionnement classique ; par 
30 contre pour 1* operation priv6e, on calcule d'abord : 

x p = y dp modp et x q = y^modq 
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Ensuite, par application du th6or6me des restes 
chinois, on obtient x = y d mod N par : 
x = x q +q[iq(x p -Xq) modulo p] 

Ainsi en mesurant la consommation en courant de la 
carte par exemple, lors de ces calculs d' exponentiation 
& la puissance d, un fraudeur peut d6duire la suite de 
bits composant la cl£ d S partir de multiples mesures. 

Les proc§d6s de contre-mesure permettant de parer 
ce type d'attaque consistent & ne pas manipuler 
directement la cl6 secrete d. 

Selon une premiere contre-mesure, on decompose d 
sous la forme suivante d =(d+a)-a et l'on calcule alors 
y< d+a) puis y" a . Mais a et d 6tant de raeme ordre de 
grandeur, le temps de calcul est alors doubl6. 

Une autre contre-mesure seulement utilisable en 
mode CRT et decrite dans le brevet WO n° 9935782 
consiste & exprimer l'exposant priv6 d p sous la forme 
aleatoire suivante : 

dp* = d p +r.(p-l), r 6tant un nombre al6atoire. 

Mais cette contre-mesure ne peut s'appliquer au 
mode RSA classique. 

Une troisi&ne contre-mesure consiste a repr§senter 
l'exposant d par une chaine d f addition. Par exemple, 
une chaine d 1 addition possible du nombre 10 est 
(1,2,3,5,8,10). Pour calculer y 10 , on calcule Rl=y.y=y 2 
puis R2=R1 . y=y 2 . y=y 3 puis R3=R2.Rl=y 3 .y 2 =y 5 puis 
R4=R3.R2=y 5 .y 3 et enfin R5=R4 .Rl=y 8 . y^y 10 . Bien sQr dans 
la r6alit6 la cl6 secrete d est un nombre beaucoup plus 
grand, de 512 bits ou plus. 
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Pour une description plus detaill6e des 
representations d'un nombre par chaines d 1 addition, on 
peut se reporter k la publication de C. Clavier et de 
M. Joye CHESS 1 01 "Universal exponentiation algorithm : 
5 a first step toward provable SPA resistance". 

Dans ce.cas de contre-mesure, la taille des donn^es 
k garder en memoire en 1' occurrence la chaine 
d 1 addition, est doub!6e. 

Le but de la pr6sente invention est done de 
10 proteger le nombre secret" d contre les attaques k 
canaux caches intervenant lorsque d est utilise dans 
des calculs d' exponentiation, sans pour autant etre 
p6nalis6 au niveau du temps de calcul, de 1 1 emplacement 
memoire ou encore limite dans le choix de l"algorithme 
15 de cryptographie. 

L f invention a pour objet un proc§d£ s£curis& de 
mise en ceuvre, dans un composant 61ectronique, d'un 
algorithme de cryptographie utilisant des moyens de 

20 calcul destin6s k effectuer des operations 
d' exponentiation k la puissance d d'un nombre y (y d ) , d 
6tant un nombre entier de taille determin6e, 
caract§ris6 en ce qu ! on memorise plusieurs algorithraes 
de calcul d 1 exponentiation dans ledit composant 

25 felectronique pr^alablement au premier calcul de la 
valeur y d , et en ce qu'il consiste k r6aliser les 6tapes 
suivantes k chaque calcul de la valeur y d : 

a) on decompose le nombre d en n blocs Di de ri bits, 
i variant de 0 J n-1, n et les ri 6tant des entiers 

30 aleatoires, Kn<=taille de d, r 0 +...+r n -i=taille de d et on 
consid^re parmi les algorithmes de calcul 
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d 1 exponentiation m6moris6s, une chaine de n algorithmes 
Ai, 

b) on effectue au moyen d'un algorithme A 0 et a 
partir des r 0 premiers bits de d et de y, le calcul 

s 0 = y Do 

5 

et on memorise le r6sultat Sq, 

c) on effectue au moyen d f un algorithme Aj et & 
partir des rj bits suivants de d, d'une fonction de So 
et/ou ... et/ou de Sj-i, et de y, j variant de 1 a n-1, le 

10 calcul 

S j = y D «W D ' 
et on memorise le r6sultat Sj, 

le r6sultat de y d correspondant k la valeur S n -i obtenue. 
Selon une caract£ristique de 1' invention, parmi la 
15 chaine des n algorithmes Aj., certains desdits 
algorithmes sont identiques. 

La chaine des n algorithmes Ai i variant de 0 & n- 
1, est de pr6f6rence §tablie de manifere al6atoire. 

La chaine des n algorithmes A± i variant de 0 ^ n- 
20 1, peut §tre predetermine . 

Selon un mode de realisation de 1» invention, 
l 1 algorithme de cryptographie est du type RSA classique 
ou en mode CRT. 

L 1 invention a 6galement pour objet un composant 
25 61ectronique de s6curit6, comprenant des moyens de 
calcul, une m6moire de programme et une m£moire de 
travail et des moyens de communication de donn6es, 
caract^rise en ce qu'il met en oeuvre le proc6d6 de 
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contre-mesure selon l'une quelconque des revendications 
pr6c§dentes, et en ce qu*il comprend un g§n6rateur de 
nombres alSatoires et en ce que la m§moire de programme 
comporte plusieurs . algorithmes de calcul 
5 d 1 exponentiation . 

L 1 invention concerne aussi une carte £ puce 
comprenant un composant 61ectronique tel que decrit 
prec6denunent . 

10 D'autres particularity * et avantages de I 1 invention 

apparaitront clairement a la lecture de la description 
faite & titre d'exemple non limitatif et en regard de 
la figure 1 annexee qui repr6sente sch§matiquement les 
<§l£ments d'une carte a puce apte A mettre en ceuvre 

15 1 1 invention, 

Les modes de r6alisation sont decrits dans le cadre 
de cartes £ puce, mais peuvent bien entendu s'appliquer 
a tout autre dispositif ou composant 61ectronique de 
s6curit6 dot6 de moyens de calculs cryptographiques. 

20 Ainsi que le montre la figure 1, la carte £ puce 1 

comprend un microprocesseur 2 coupl§ a une m6moire 
figee (ROM) 3 et a une mdmoire vive (RAM) 4, le tout 
formant un ensemble permettant, entre autres, 
1* execution d f algorithmes cryptographiques. Plus 

25 pr§cis6ment, le microprocesseur 2 comporte les moyens 
de calcul arithm^tiques nScessaires & 1 ' algorithme, 
ainsi que des circuits de transfert de donn6es avec les 
m£moires 3 et 4 . La m£moire figee 3 contient le 
programme ex^cutoire de 1' algorithme cryptographique 

30 sous forme de code source, alors que la. m6moire vive 4 
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comporte des registres pouvant etre mis k jour pour le 
stockage de r6sultats des calculs. 

La carte a puce 1 comporte aussi une interface de 
communication 5 reli6e au microprocesseur 2 pour 

5 permettre l'6change de donn6es avec 1 1 environnement 
ext§rieur. L 1 interface de communication 5 peut etre du 
type "k contacts", 6tant dans ce cas form6e d'un 
ensemble de plots de contacts destines ct se connecter k 
un contacteur d'un dispositif externe, tel qu'un 

10 lecteur de cartes, et/ou du type "sans contact". Dans 
ce dernier cas, 1' interface de communication 5 comporte 
une antenne et des circuits de communication par voie 
hertzienne permettant un transfert de donn§es par 
liaison sans fil. Cette liaison peut aussi permettre 

15 un transfert d f 6nergie d' alimentation des circuits de 
la carte 1. 

Le proc6d6 selon 1' invention consiste & calculer y d 
au moyen d'une chaine de n algorithmes d' exponentiation 
appliques a n blocs de bits de d. On entend par 

20 algorithme de calcul d' exponentiation, une suite 
d 1 instructions permettant d'effectuer ce calcul ; comme 
on le verra par la suite dans un exemple, il y a 
plusieurs algorithmes possibles. 

Cette chaine de n algorithmes d' exponentiation A± 

25 (i variant de 0 a n-1) est 6tablie & partir de 
plusieurs algorithmes d' exponentiation que l'on met en 
m^moire pr6alablement au premier calcul de y d . Les 
algorithmes Ai ne sont pas n6cessairement tous 
diff^rents : certains peuvent 3tre identiques. 

30 A chaque calcul de la valeur y d , par exemple k 

chaque fois que l'on effectue l 1 operation priv£e 
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ctecrite pr6c6demment pour 1 1 algorithme RSA, on ctecoupe 
comme represent^ ci-dessous la cle d comportant K bits 
(la taille de d est K) , en n blocs D A (i varie de 0 £ n- 
1) de ri bits (0 ou 1), n et ri etant des nombres 
5 entiers aldatoires, Kn<=K g6n£r6s par exemple par la 
carte £l puce au moyen d'un g6n6rateur 6 de nombres 
al6atoires repr6sent6 figure 1 : 

d = d)c dj do (representation binaire de d) 

Tq ... T\ ... To-i (nombre de bits de chaque bloc D) 

D 0 ... D| ... D„_i 

avec Do=ro premiers bits de d, 
Di=ri bits suivant ceux du bloc D 0 , 
•■•/ 

Di= ri bits suivant ceux des blocs dJ I .. j I Dj-i , 
— / 

Dn-i= r n -i derniers bits de d, 

avec d= D(J I .J I D n -i , le symbole II signifiant 
concat6n§. 



15 



Les blocs Di qui se suivent sont contigus. 
La cle d est lue de gauche & droite ; on peut bien 
25 stir tout aussi bien la lire de droite & gauche. De m§me 
on peut lire les bits d'un bloc de gauche k droite et 
ceux d'un autre bloc de droite £ gauche. 

On effectue ensuite le calcul d' exponentiation y d 
au moyen de la chaine de n algorithmes : 
30 - on calcule au moyen d'un algorithme Ao le 

calcul d' exponentiation de y & partir des r 0 premiers 
bits de d et de y pour obtenir S 0 que 1'on m6morise : 



So=y D ' 
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on calcule au moyen d'un algorithme Ai le 
calcul d' exponentiation de y a partir des ri bits 
suivants de d r d'une fonction de So et de y pour obtenir 
Si que l'on memorise : 

••■/ 

on calcule au moyen d'un algorithme Ai le 
calcul d' exponentiation de y £ partir des ri bits 
suivants de d, d'une fonction de S 0 et/ou de Si et/ou 
et/ou de Si_i, et de y pour obtenir Si que l'on 
memorise : 

S | =y D °l D 'W D i 

on calcule au moyen d'un algorithme A n -i 
le calcul d 1 exponentiation de y k partir des r n -i 
derniers bits de d, d'une fonction de S 0 et/ou de Si 
et/ou et/ou de S n - 2 , et de y pour obtenir S n -i, le 
r^sultat recherche, que l'on memorise : 

Selon 1' algorithme Ai mis en ceuvre, le calcul de Si 
s'effectue & partir notamment d'une fonction du 
r^sultat Si_i de 1' algorithme pr6c6dent sans utiliser 
toute la chaine S 0 , Si- 2 des r6sultats pr6c6dents (ou 
d'une fonction des rSsultats pr6c6dents) , ou encore £ 
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partir de quelques uns de ces resultats (ou d'une 
fonction de ces resultats) . 

Par ailleurs, la chaine d' algorithme est de 
preference determinee de maniere aleatoire pour chaque 
5 calcul de y d ; elle peut cependant etre pr6d6terminee . 

Ce proc6d§ permet ainsi de se prot6ger dans le cas 
de la mise en oeuvre d f un algorithme de cryptographie 
base sur un calcul d' exponentiation du type y d . 

En effet, les attaques & canaux caches qui sont 
10 r6alis£es au terme de multiples mesures, consistent 
dans un premier temps, lors d'une phase d T apprentissage 
& identifier l'algorithme d' exponentiation utilise. 
Pour ce faire, le fraudeur relance l'algorithme en 
changeant la cle. Connaissant cet algorithme, il peut 
15 alors identifier les bits de la veritable cie d. 

Selon 1' invention, le calcul de y d n'est pas 
effectue de la meme maniere d'une fois sur 1' autre : la 
decomposition de d en blocs Di est determinee de fagon 
al6atoire d'une fois sur 1' autre car le nombre n de 
20 blocs et leur taille ri sont des entiers aieatoires, les 
algorithmes de calcul d' exponentiation different les 
uns des autres (meme si certains sont identiques, il y 
en a au moins deux qui different) et eventuellement, la 
chaine d' algorithmes d' exponentiation varie egalement 
25 de fagon aieatoire d'un calcul de y d a 1' autre. 

II devient ainsi beaucoup plus difficile voire 
impossible d 1 identifier 1 'algorithme d' exponentiation 
utilise et par consequent de determiner l'exposant 
secret. 

30 On va £ present illustrer le precede precedemment 

decrit par l'exemple suivant qui consiste £ realiser le 
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calcul d* exponentiation modulaire suivant : y modulo p, 
d etant une cl6 de k bits et p 6tant un nombre premier. 

On decompose la cl§ d en 2 blocs (n=2), un bloc D 0 
de k-r bits et un bloc Di de r bits (d=DollDi). 

Le calcul "y d modulo p" va done s'effectuer au 
moyen de deux algorithmes Ao et Ai permettant d'obtenir 
respectivement S 0 et S a avec Si=y d modulo p. 

L' algorithme choisi pour A 0 est 1' algorithme 
"Square and Always Multiply" qui consiste k <§lever au 
carr6 et k multiplier dans tous les cas. II s'agit, 
pour des exposants de ra§me taille, d'un algorithme k 
temps constant et k code constant c'est-£-dire qui 
execute toujours les memes instructions, quelle que 
soit la valeur de l'exposant raanipul6 ; il n'inclut pas 
d' instructions de test pouvant donner une information 
sur la valeur manipulee. Un tel algorithme a temps 
constant et £ code constant est bien s6curis6 mais il 
est coQteux en temps de calcul car il execute parfois 
des operations inutiles. 

L 1 algorithme choisi pour Ai est 1' algorithme 
"Square and Multiply" qui consiste k 61ever au carr<§ et 
k multiplier. II ne s'agit pas d'un algorithme a temps 
constant, ni k code constant sauf si l f on rajoute 
artif iciellement une instruction comme on le verra plus 
loin. C'est done un algorithme moins securise que le 
precedent mais plus rapide. 

On calcule done d'abord S 0 au moyen de A 0 a partir 
de 1, y, des k-r premiers bits de d et de p selon la 
suite d' instructions suivante : 



2829646 



R0=1 

Pour i=k~l £ r par pas de (-1) 
R1=R0 2 modulo p 
R0=Rl*y 

5 R0=R [complement de di] 

FinPour 

S 0 =RO 

On rappelle que si d±=0, le complement de di est 1 
et R[ complement de djJ=Rl, et que si di-1, le complement 
10 de di est 0 et R [complement de di]=R0. 

On enchaine ensuite avec le calcul de Si (c ! est-&- 
dire y d modulo p) au moyen de Ai a partir de S 0 , y, des 
r bits suivants de d et de p selon la suite 
d 1 instructions suivante : 
15 RO=S 0 

Pour i=r-l a 0 par pas de (-1) 
R1=R0 2 

si d A =l alors R0=Rl*y modulo p 
sinon R0=R1 
20 FinPour 
Si=R0 

Pour que l'algorithme Al soit & code constant, il 
suffit de remplacer 1' instruction R0=R1 par : 
R0=R1*1 modulo p. 

25 

L 1 invention est valable pour les algorithmes 
cryptographiques utilisant des calculs d 1 exponentiation 
comme par exemple le calcul d* exponentiation modulaire 
(y d modulo p) dans le cas de l f algorithme de type RSA ou 
30 encore le calcul d' exponentiation sur une courbe 
elliptique oix il est d'usage d'ecrire 1 1 exponentiation 
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de fagon additive. L 1 exponentiation se nomine alors 
multiplication scalaire : 
y b =y*...*y (b fois) devient b*y=y+...+y (b fois) . 
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REVEND I CATIONS 

1. Proc6d6 s£curis6 de mise en ceuvre, dans un 
composant 61ectronique, d'un algorithme de 
cryptographie utilisant des moyens de calcul destines k 
effectuer des operations d f exponentiation a la 
5 puissance d d'un nombre y (y d ), d 6tant un nombre entier 
de taille determin6e, caract6ris6 en ce qu'on memorise 
plusieurs algorithmes de calcul d* exponentiation dans 
ledit composant 61ectronique pr6alablement au premier 
calcul de la valeur y d , et en ce qu'il consiste k 
10 r^aliser les 6tapes suivantes k chaque calcul de la 
valeur y d : 

a) on decompose le nombre d en n blocs Di de ri bits, 
i variant de 0 a n-1, n et les ri 6tant des entiers 
al§atoires, Kn<=taille de d, r 0 +...+r n -i=taille de d et on 

15 considfere parmi les algorithmes de calcul 
d 1 exponentiation memorises, une chaine de n algorithmes 

b) on effectue au moyen d'un algorithme A 0 et k 
partir des r 0 premiers bits de d et de y, le calcul 

s 0 = y Do 

20 

et on memorise le r^sultat So, 

c) on effectue au moyen d'un algorithme Aj et k 
partir des rj bits suivants de d, d'une fonction de S 0 
et/ou ... et/ou de Sj-i, et de y, j variant de 1 a n-1, le 

25 calcul 
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et on memorise le r6sultat Sj, 

le resultat de y d correspondant A la valeur S n -! obtenue. 

5 2. Proc6d§ selon la revendication pr6c£dente, 

caract6ris6 en ce que parmi la chaine des n algorithmes 
Ai, certains desdits algorithmes sont identiques. 

3. Proc6d6 selon l'une quelconque des 
10 revendications pr6c6dentes, caract6ris6 en ce que la 

chaine des n algorithmes Ai i variant de 0 k n-1, est 
etablie de manifere al^atoire. 

4. Proc£d6 selon l'une quelconque des 
15 revendications 1 £ 2, caract6ris6 en ce que la chaine 

des n algorithmes A± i variant de 0 & n-1, est 
pr£determinee. 

5. Proc6d6 selon l'une quelconque des 
20 revendications pr6c6dentes, caract6rise en ce que 

I'algorithme de cryptographie est du type RSA. 

6. Proced6 selon la revendication pr6c£dente, 
caract6rise en ce que I'algorithme de type RSA est du 

25 type CRT, 

7. Composant 61ectronique de s6curite, comprenant 
des moyens de calcul (2), une m§moire de programme (3) 
et une m§moire de travail (4) et des moyens de 



2829646 



communication de donn6es (5), caract£ris§ en ce qu'il 
met en oeuvre le proc6de de contre-mesure selon l'une 
quelconque des revendications prec6dentes, et en ce 
qu'il comprend un g6n6rateur (6) de nombres al6atoires 
et en ce que la memoire de programme (3) comport e 
plusieurs algorithmes de calcul d r exponentiation. 

8 . Carte £ puce comprenant . un composant 
61ectronique selon la revendication precedente. 
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